DNS 영역 보안

기본적으로 동적 업데이트 설정은 동적 업데이트를 허용하도록 구성되어 있지 않습니다. 이 설정은 공격자가 DNS 영역을 업데이트하지 못하게 하므로 가장 안전한 설정이지만 동적 업데이트에서 제공하는 관리 이점을 이용할 수 없습니다. DNS 데이터를 더욱 안전하게 업데이트하도록 컴퓨터를 구성하려면 DNS 영역을 AD DS(Active Directory 도메인 서비스)에 저장하고 보안 동적 업데이트 기능을 사용합니다. 보안 동적 업데이트는 DNS 영역 업데이트를 DNS 서버가 있는 Active Directory 도메인에 인증되어 가입한 컴퓨터와 DNS 영역의 ACL(액세스 제어 목록)에 정의된 특정 보안 설정으로만 제한합니다.

자세한 내용은 보안 동적 업데이트만 허용을 참조하십시오.

DACL(임의 액세스 제어 목록)을 사용하여 DNS 영역을 제어할 수 있는 Active Directory 사용자와 그룹에 대한 사용 권한을 제어할 수 있습니다.

다음 표에는 AD DS에 저장된 DNS 영역에 대한 기본 그룹 또는 사용자 이름과 사용 권한이 나와 있습니다.

자세한 내용은 디렉터리 통합 영역의 보안 수정을 참조하십시오.

영역이 AD DS에 저장된 도메인 컨트롤러에서 실행되는 DNS 서버 서비스는 Active Directory 개체 및 특성을 사용하여 AD DS에 영역 데이터를 저장합니다. DNS Active Directory 개체에 대한 DACL을 구성하면 DNS 관리자에서 DNS 영역에 대한 DACL을 구성하는 것과 동일한 효과가 있습니다. 따라서 Active Directory 개체의 보안 관리자와 DNS 데이터의 보안 관리자가 서로의 보안 설정을 바꾸지 않도록 직접 연락할 수 있어야 합니다.

다음 표에서는 DNS 영역 데이터에서 사용하는 Active Directory 개체와 특성에 대해 설명합니다.

기본적으로 DNS 서버 서비스에서는 영역의 NS(이름 서버) 리소스 레코드에 나열된 서버에만 영역 정보를 전송할 수 있습니다. 이러한 구성은 안전하지만 보안을 강화하려면 이 설정을 지정된 IP 주소로 영역 전송을 허용하는 옵션으로 변경해야 합니다. 이 설정을 모든 서버에 영역 전송을 허용하도록 변경하면 사용자 네트워크를 풋프린팅하려는 공격자에게 DNS 데이터가 노출될 수 있습니다.

자세한 내용은 영역 전송 설정 수정을 참조하십시오.

DNS 도메인 이름을 별도로 관리되는 DNS 서버에 호스트되는 영역에 위임할지 여부를 결정할 때는 여러 개인에게 네트워크의 DNS 데이터를 관리하는 기능을 부여하는 경우의 보안 의미를 고려해야 합니다. DNS 영역 위임에는 모든 DNS 데이터에 대해 한 DNS 서버만 권한을 보유하게 하는 경우의 보안 이점과 DNS 네임스페이스에 대한 책임을 여러 관리자에게 분배하는 경우의 관리 이점 간에 위험 가능성이 있습니다. 이 문제는 개인 DNS 네임스페이스의 최상위 도메인을 위임할 경우 이 도메인에 매우 중요한 DNS 데이터가 포함되어 있으므로 매우 중요합니다.

자세한 내용은 영역 위임 이해를 참조하십시오.

DNS 데이터가 손상된 경우 %systemroot%/DNS/Backup 폴더에 있는 백업 폴더에서 DNS 영역 파일을 복원할 수 있습니다. 영역이 먼저 만들어지면 영역의 복사본이 백업 폴더에 추가됩니다. 영역을 복구하려면 백업 폴더에서 %system root%/DNS 폴더로 원본 영역 파일을 복사합니다. 새 영역 마법사를 사용하여 영역을 만드는 경우에는 새 영역의 영역 파일로 %system root%/DNS 폴더에 영역 파일을 지정합니다. 자세한 내용은 정방향 조회 영역 추가을 참조하십시오.

이 작업은 AD DS에 저장되지 않는 표준 영역에만 적용됩니다.

자세한 내용은 DNS에 대한 보안 정보를 참조하십시오.